Votre e-mail et votre mot de passe sont-ils dans la nature ?

Des pirates ont mis en ligne ces derniers jours une gigantesque base de données de milliards de combinaisons liées à des comptes Netflix, LinkedIn, Hotmail ou Gmail. Un moteur de recherche permet d’en avoir le coeur net et de changer ses mots de passe si besoin.

FFNDQPC5TRXUVLGADYI5O5YUNU.jpg Illustration. Des pirates informatiques ont partagé la plus grosse compilation de combinaisons d'e-mails et mots de passe. AFP/THOMAS SAMSON

C’est la loterie à laquelle personne ne veut gagner. Votre adresse e-mail fait-elle partie des 2,5 milliards de références publiées sur Internet par des hackers afin d’être exploitées par les cybercriminels ? Le site américain spécialisé BGR rapporte que le plus gros dépôt de combinaison (e-mail + mot de passe) jamais observé a récemment eu lieu sur Internet. Il est baptisé « Compilation of Many Breaches » (COMB), soit la compilation de toutes les fuites de données, et donc facilement exploitable, de 15 212 645 925 comptes compromis qui reposent sur 2 563 218 607 adresses e-mails. Ce n’est pas la première fois que ces compilations apparaissent sur les radars mais elles viennent s’enrichir régulièrement.
Un moteur de recherche pour vérifierOn y retrouve des données issues de piratages mais aussi de fuites de données largement documentées comme celles de LinkedIn dès 2012. À la manière du site haveibeenpwned.com qui permet de savoir si vous faites partie du lot, le site Cybernews a mis en place un moteur de recherche pour vérifier la présence ou non de vos identifiants et sésames.

LCYGAOMEINCTLK4SCZT33UQU74.jpgLe moteur de recherche vérifie les adresses emails compilées. LP/DR

Vu l’ampleur du leak, les probabilités d’y figurer sont fortes. C’est le bon moment pour mettre à jour et renforcer votre mot de passe et surtout le faire varier entre vos différents comptes de réseaux sociaux, site d’e-commerce ou simples messageries en ligne.
Car il suffit à un cybercriminel d’avoir une adresse e-mail et un mot de passe pour faire du « credential stuffing », c’est-à-dire faire tourner des algorithmes pour trouver les bonnes paires, déduire parfois un mot de passe en modifiant légèrement l’original et prendre possession d’un compte souvent payant.
Il est aussi vivement conseillé de faire appel à un gestionnaire de mots de passe et d’activer par défaut l’authentification à double facteur quipermet de vérifier l’identité de l’utilisateur avec des codes envoyés par deux moyens distincts (SMS, e-mail…).

Source : https://www.leparisien.fr/high-tech/vot … S4EQZI.php